LFI(Local File Inclusion) 취약점이란? LFI는 공격자가 웹 애플리케이션을 통해 서버의 파일을 불러오거나 실행할 수 있게 하는 보안 취약점이다. 이 취약점은 PHP와 같은 서버 측 스크립트 언어에서 발견되며, 애플리케이션의 입력 검증 부족으로 인해 발생한다. 주로 php 코드상에서 include() 사용 시 input에 대한 적절한 필터링이 이루어지지 않아 발생한다. 공격자는 이 취약점을 악용하여 웹 서버에서 민감한 정보를 읽거나, 로컬 스크립트를 실행하여 보안을 우회하고 시스템을 손상시킬 수 있다. include($_GET['file'] . '.php'); 위 코드는 사용자 입력($_GET['file'])을 검증하지 않고 파일을 include한다. 이때, 공격자가 URL을 조작하여 ..

https://dreamhack.io/lecture/courses/166 와 다양한 자료를 참고하였습니다. 잘못된 정보가 있으면 댓글 달아주세요! 현대의 웹 서비스는 대부분 로그인을 통해 마이페이지, 유료 서비스 등 개인만의 서비스를 이용한다. 웹 서버는 수많은 클라이언트와 HTTP 프로토콜을 사용해 통신한다. 손님 계정으로 로그인 했다면 손님이 이용할 수 있는 서비스를 제공하고, 관리자 계정으로 로그인 했다면 데이터베이스, 회원 관리 등의 관리자 페이지를 제공해야 한다. 그렇다면 웹 서버는 수많은 클라이언트를 어떻게 구별하고 서로 다른 결과를 반환해줄까? HTTP 프로토콜로 웹 서버와 통신할 때에는 웹 서버에 명령을 내리기 위해 GET, POST와 같은 메소드와 자원의 위치를 가리키는 URL 등이 포함..

https://learn.dreamhack.io/199 컴퓨터와 통신할 때는 비교적 엄격한 프로토콜을 사용해야 한다. 많은 컴퓨터 통신 프로토콜은 각 통신 주체가 교환하는 데이터(이하 메시지)를 명확히 해석할 수 있도록 문법(syntax)을 포함한다. 일반적으로 이 문법에 어긋나는 메시지는 잘못 전송된 것으로 취급하여 무시된다. 현재까지 제정된 표준 통신 프로토콜에는 네트워크 통신의 기초가 되는 TCP/IP, 웹 애플리케이션이 사용하는 HTTP, 파일을 주고받을 때 사용하는 FTP 등 매우 많은 종류가 있다. HTTP HTTP(Hyper Text Transfer Protocol)란 서버와 클라이언트의 데이터 교환을 요청(Request)과 응답(Response) 형식으로 정의한 프로토콜이다. HTTP의 기..